論文の概要: MCP-SandboxScan: WASM-based Secure Execution and Runtime Analysis for MCP Tools
- arxiv url: http://arxiv.org/abs/2601.01241v1
- Date: Sat, 03 Jan 2026 17:25:38 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-01-06 16:25:22.142047
- Title: MCP-SandboxScan: WASM-based Secure Execution and Runtime Analysis for MCP Tools
- Title(参考訳): MCP-SandboxScan: MCPツールのWASMベースのセキュア実行と実行解析
- Authors: Zhuoran Tan, Run Hao, Jeremy Singer, Yutian Tang, Christos Anagnostopoulos,
- Abstract要約: ツールの実行は、インジェクションのプロンプトや意図しない外部インプットの露出など、実行時のみの動作を導入することができる。
MCP-SandboxScanはWebAssembly/WASIサンドボックス内で信頼できないツールを安全に実行するフレームワークです。
- 参考スコア(独自算出の注目度): 3.1835741342145063
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Tool-augmented LLM agents raise new security risks: tool executions can introduce runtime-only behaviors, including prompt injection and unintended exposure of external inputs (e.g., environment secrets or local files). While existing scanners often focus on static artifacts, analyzing runtime behavior is challenging because directly executing untrusted tools can itself be dangerous. We present MCP-SandboxScan, a lightweight framework motivated by the Model Context Protocol (MCP) that safely executes untrusted tools inside a WebAssembly/WASI sandbox and produces auditable reports of external-to-sink exposures. Our prototype (i) extracts LLM-relevant sinks from runtime outputs (prompt/messages and structured tool-return fields), (ii) instantiates external-input candidates from environment values, mounted file contents, and output-surfaced HTTP fetch intents, and (iii) links sources to sinks via snippet-based substring matching. Case studies on three representative tools show that MCP-SandboxScan can surface provenance evidence when external inputs appear in prompt/messages or tool-return payloads, and can expose filesystem capability violations as runtime evidence. We further compare against a lightweight static string-signature baseline and use a micro-benchmark to characterize false negatives under transformations and false positives from short-token collisions.
- Abstract(参考訳): ツール実行は、インジェクションのインジェクションや意図しない外部インプット(環境シークレットやローカルファイルなど)の露呈など、実行時のみの動作を導入することができる。
既存のスキャナは静的アーティファクトに重点を置いていることが多いが、信頼できないツールを直接実行させること自体が危険であるため、実行時の動作を分析することは難しい。
MCP-SandboxScanは、モデルコンテキストプロトコル(MCP)が動機とする軽量フレームワークで、WebAssembly/WASIサンドボックス内で信頼できないツールを安全に実行し、外部からシンクへの露出の監査可能なレポートを生成する。
試作品
i)ランタイム出力(prompt/messagesおよび構造化ツール-リターンフィールド)からLLM関連シンクを抽出する。
(ii)環境値、マウントされたファイル内容、出力されたHTTPフェッチインテントから外部入力候補をインスタンス化し、
(iii)スニペットベースのサブストリングマッチングを通じてソースとシンクをリンクする。
3つの代表的なツールに関するケーススタディでは、MCP-SandboxScanは、プロンプト/メッセージやツール-リターンペイロードに外部入力が現れると証明証拠を提示でき、実行時エビデンスとしてファイルシステム機能違反を公開することができる。
さらに、軽量な静的文字列署名ベースラインと比較し、マイクロベンチマークを用いて、変換中の偽陰性や短絡衝突による偽陽性を特徴付ける。
関連論文リスト
- Securing the Model Context Protocol: Defending LLMs Against Tool Poisoning and Adversarial Attacks [8.419049623790618]
本研究は,MPP統合システムに対するセマンティックアタックの3つのクラスを分析する。
ディスクリプタの整合性を強制するためのRSAベースのマニフェスト署名、不審なツール定義を検出するためのLLM-on-LLMセマンティックベッティング、実行時に異常なツール動作をブロックする軽量ガードレールである。
提案手法は, モデル微調整や内部修正を伴わずに, 安全でないツール実行率を低減できることを示す。
論文 参考訳(メタデータ) (2025-12-06T20:07:58Z) - Mind Your Server: A Systematic Study of Parasitic Toolchain Attacks on the MCP Ecosystem [13.95558554298296]
大規模言語モデル(LLM)は、モデルコンテキストプロトコル(MCP)を通じて、外部システムとますます統合される。
本稿では,MCP Unintended Privacy Disclosure (MCP-UPD) としてインスタンス化された新たな攻撃方法であるParasitic Toolchain Attacksを明らかにする。
悪意のあるロジックはツールチェーンに侵入し,寄生的取り込み,プライバシコレクション,プライバシ開示という3つのフェーズで展開する。
論文 参考訳(メタデータ) (2025-09-08T11:35:32Z) - DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。
この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。
本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
論文 参考訳(メタデータ) (2025-06-13T05:01:09Z) - Invisible Prompts, Visible Threats: Malicious Font Injection in External Resources for Large Language Models [29.879456712405204]
大規模言語モデル(LLM)は、リアルタイムWeb検索機能を備え、モデルコンテキストプロトコル(MCP)のようなプロトコルと統合されつつある。
この拡張は新たなセキュリティ脆弱性を導入する可能性がある。
本稿では,Webページなどの外部リソースに悪意あるフォント注入を施して,隠れた敵のプロンプトに対するLLM脆弱性を系統的に調査する。
論文 参考訳(メタデータ) (2025-05-22T17:36:33Z) - MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits [0.0]
Model Context Protocol (MCP) は、大規模言語モデル(LLM)、データソース、エージェントツールへのAPI呼び出しを標準化するオープンプロトコルである。
現在のMPP設計はエンドユーザーに幅広いセキュリティリスクをもたらすことを示す。
任意のMPPサーバのセキュリティを評価するために,安全監査ツールであるMPPSafetyScannerを導入する。
論文 参考訳(メタデータ) (2025-04-02T21:46:02Z) - Get my drift? Catching LLM Task Drift with Activation Deltas [55.75645403965326]
タスクドリフトは攻撃者がデータを流出させたり、LLMの出力に影響を与えたりすることを可能にする。
そこで, 簡易線形分類器は, 分布外テストセット上で, ほぼ完全なLOC AUCでドリフトを検出することができることを示す。
このアプローチは、プロンプトインジェクション、ジェイルブレイク、悪意のある指示など、目に見えないタスクドメインに対して驚くほどうまく一般化する。
論文 参考訳(メタデータ) (2024-06-02T16:53:21Z) - JITScanner: Just-in-Time Executable Page Check in the Linux Operating System [6.725792100548271]
JITScannerはLoadable Kernel Module (LKM)上に構築されたLinux指向パッケージとして開発されている。
スケーラブルなマルチプロセッサ/コア技術を使用してLKMと効率的に通信するユーザレベルのコンポーネントを統合する。
JITScannerによるマルウェア検出の有効性と、通常のランタイムシナリオにおける最小限の侵入が広くテストされている。
論文 参考訳(メタデータ) (2024-04-25T17:00:08Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。